Vijf denkfouten over cybersecurity
|
|
- Andreas de Kooker
- 9 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Vijf denkfouten over cybersecurity Een bestuurdersperspectief op cybersecurity ADVISORY kpmg.nl
2 2 Vijf Continuous denkfouten auditing over and cybersecurity continuous monitoring: The current status and the road ahead
3 Vijf denkfouten over cybersecurity 3 Inhoud Voorwoord Introductie 6 De vijf meest gemaakte denkfouten over cybersecurity 8 Komen tot een maatwerkaanpak 11 Hoe weet u als bestuurder hoe uw organisatie ervoor staat? 12 Tot slot 14
4 4 Vijf denkfouten over cybersecurity Voorwoord Dat cybersecurity belangrijk is voor elke organisatie, dat behoeft eigenlijk geen nadere toelichting. Vrijwel dagelijks bewijzen incidenten dat de risico s groot zijn en dat zowel individuele hackers als professioneel georganiseerde cybercriminelen zich roeren. Bestuurders staan dan ook voor de taak erop toe te zien dat binnen hun organisatie de juiste prioriteiten worden gesteld. Dat is voor velen echter niet eenvoudig omdat de wereld van cybersecurity wat ongrijpbaar is vanwege het technisch jargon en het gespecialiseerde karakter. Generalisten kunnen er maar moeilijk vat op krijgen. Bovendien is het lastig om hoofdzaken van bijzaken te scheiden terwijl berichten in de media bijdragen aan een angstcultuur waarin het beeld ontstaat dat vrijwel elke organisatie een willoze prooi is. Er wordt nauwelijks onderscheid gemaakt tussen oplichters op marktplaats.nl, hackers die een website platleggen of georganiseerde criminele groepen die met een stelselmatige strategie uit zijn op het stelen van bedrijfsgeheimen. Terwijl dat onderscheid van groot belang is, want niet alle organisaties zijn even aantrekkelijk voor deze verschillende typen van cybercrime. Mede doordat begrippen door elkaar heen lopen is cybersecurity een lastig thema voor menig bestuurder. Dat mag echter geen excuus zijn om het thema af te schuiven naar gespecialiseerde professionals. Het is juist essentieel dat bestuurders zelf actief sturen op drie aspecten van cybersecurity: (1) de financiële middelen ervoor, (2) een adequate governance en (3) het stimuleren van een cultuur waarin iedereen zich bewust is van zijn verantwoordelijkheden. Bestuurders staan voor de taak om in de complexiteit van dit thema gedegen afwegingen te maken en op zijn minst de juiste vragen stellen. Maar hoe doet u dat? Deze whitepaper geeft handvatten en brengt cybersecurity terug tot de basis. John Hermans KPMG Cybersecurity Lead Partner Gerben Schreurs Partner KPMG Forensic
5 Vijf denkfouten over cybersecurity 5 Wat is cybercrime en wie doet dit? Cybercrime is het geheel van illegale digitale activiteiten die zijn gericht op een organisatie. De term cybercrime omvat een ware wildgroei van doelen en aanvalsmethoden. Een goed begrip van de actor, de persoon of organisatie achter deze aanvallen, is essentieel voor effectief verweer tegen cybercrime. De actoren zijn in te delen in een viertal categorieën: 1 De eenvoudige hacker, gemotiveerd om te laten zien wat hij/zij allemaal kan; 2 De activist, gericht op het uitdragen van een gedachtegoed, vaak gedreven door een ideologie of gericht op het zaaien van angst, gedreven door politieke doelen; 3 Georganiseerde misdaad, gericht op direct geldelijk gewin (bijvoorbeeld door phishing) of indirect geldelijk gewin, gericht op het doorverkopen van bedrijfsgegevens; 4 Staten, gericht op het verbeteren van de geopolitieke positie of vergroting van de interne machtspositie. Het is van essentieel belang dat deze verschillende actoren verschillen in eigenschappen zoals type doelwit van de aanval, de middelen die de actor tot zijn/haar beschikbaarheid heeft alsook het aantal aanvallen welke uitgevoerd worden door deze actor. In een door het Nationale Cyber Security Centrum (NCSC) uitgegeven publicatie is een nadere analyse weergegeven van het cybersecuritybeeld in Nederland, alsmede een gedetailleerde beschrijving van voorkomende cyberactoren.
6 6 Vijf denkfouten over cybersecurity 01 Introductie Cybersecurity: wat u waarschijnlijk al weet De hoeveelheid data blijft exponentieel groeien. Belangrijker nog: de mate waarin organisaties data met elkaar delen via tal van interfaces en apparaten groeit eveneens exponentieel. The internet of things waarin miljarden apparaten variërend van tablets en smartphones tot betaalterminals, beveiligingsinstallaties, olievelden, gebouwbesturingssystemen en thermostaten aan elkaar zijn gekoppeld is eigenlijk al bijna geen toekomstscenario meer maar wordt in rap tempo realiteit. Het gevolg daarvan is dat de afhankelijkheden tussen organisaties steeds groter worden in een sterk genetwerkte samenleving. Organisaties stellen hun IT steeds meer open voor een breed scala toepassingen via alle denkbare (mobiele) apparaten en zijn daarmee voor hun databeveiliging mede afhankelijk van andere organisaties. Bovendien is de continuïteit van kernprocessen zowel maatschappelijk als binnen bedrijven steeds meer afhankelijk van IT. Een verstoring ervan al dan niet door moedwillige inbraak van buiten kan dan ook een grote impact hebben op de beschikbaarheid van diensten. Deze combinatie van ontwikkelingen is natuurlijk ook bekend bij malafide personen en/of organisaties. De aanvallen op netwerken van overheden en bedrijven nemen dan ook toe in aantal en ernst. Cybercriminelen doen dit vanuit verschillende motieven, variërend van uit de hand gelopen hobbyisme of geldelijk gewin tot Drie aandachtsgebieden voor effectieve maatregelen en met spionage of terroristische achtergrond. Dit noopt tot effectieve maatregelen. Organisaties moeten zich goed beschermen en maatregelen nemen om in geval van incidenten snel tot een goede respons te komen. De klassieke drie thema s preventie, detectie en respons verdienen daarbij aandacht (zie kader). Preventie Preventie begint met governance en organisatie. Het gaat naast technische maatregelen onder andere om het beleggen van de verantwoordelijkheid voor cybercrime in de organisatie en om bewustwordingstrainingen voor belangrijke medewerkers. Detectie Een organisatie kan door het monitoren van kritieke gebeurtenissen en centrale veiligheidsincidenten en -gebeurtenissen de technologische detectiemaatregelen versterken. Monitoring en data mining vormen samen een uitstekend instrument om vreemde patronen in het gegevensverkeer op het spoor te komen, te signaleren waar de aanvallen zich concentreren en de systeemprestaties te observeren. Respons Bij respons gaat het om het in werking stellen van een plan zodra zich een aanval voordoet. Bij een aanval moet de organisatie alle getroffen technologie direct buiten werking kunnen stellen. Bij de ontwikkeling van een respons- en herstelplan doet een organisatie er goed aan (informatie)beveiliging te zien als een continu proces en niet als eenmalige oplossing.
7 Vijf denkfouten over cybersecurity 7 Wat u misschien nog niet weet Tot zover alles wat u waarschijnlijk al weet over cybersecurity, want het thema mag zich de laatste jaren in veel belangstelling verheugen. Die aandacht is prima. Tegelijkertijd moeten organisaties zich niet gek laten maken. De media schetsen regelmatig een ongenuanceerd beeld van cybersecurity alsof veel organisaties een haast willoos slachtoffer zijn van cyberboeven. Daarbij wordt alles over één kam geschoren en dat leidt bij bedrijven hier en daar tot angst die niet op feiten is gebaseerd. Een MKB-bedrijf heeft een heel ander profiel dan een multinational en over veel van de in de media genoemde incidenten hoeft een MKB-bedrijf zich dan ook weinig zorgen te maken. De waarheid ligt dan ook genuanceerder dan het beeld in de media. De risico s zijn wel degelijk beheersbaar. Cybercriminelen zijn geen onoverwinnelijke genieën, en het ontbreekt overheden en ondernemingen zeker niet aan kennis om cybercrime te bestrijden. Maar we moeten ons wel realiseren dat honderd procent veiligheid een illusie is en dat het najagen van die honderd procent niet alleen tot frustratie zal leiden maar mogelijk ook tot schijnzekerheid. In feite moeten we cybersecurity gaan beschouwen als business as usual. Als een thema dat op dezelfde wijze aandacht verdient als bijvoorbeeld het risico op brand of fraude. Dit zijn thema s die gestructureerd worden aangepakt door het management, vanuit een risk management perspectief, en dus niet met de gedachte om een systeem te bouwen dat honderd procent waterdicht is. Voor cybersecurity is dat echter veelal nog vloeken in de kerk. We zijn er van overtuigd geraakt dat veel organisaties op een andere manier naar cybersecurity moeten kijken. Ze moeten niet redeneren vanuit angst voor wat er buiten gebeurt, maar redeneren vanuit eigen kracht. Vanuit de juiste overwegingen over risico s en het karakter van de eigen organisatie. Beheer en Organisatie Preventie Detectie Respons Toewijzen van verantwoordelijkheden voor Cybercrime Borgen van 24 x 7 stand-by crisis organisaties Inzetten van forensische analyse vaardigheden Verzorgen van training beveiligingsbewustzijn Processen Uitvoeren cybercrime respons test (simulatie) Uitvoeren procedures voor opvolging van incidenten Uitvoeren cybercrime respons plan Uitvoeren periodieke scans en penetratietesten Technologie Realiseren van adequate desktopbeveiliging Implementeren logging van kritieke processen Stoppen of verbreken van aangevallen IT-diensten Realiseren van netwerksegmentatie Implementeren centraal monitoren van beveiligingsincidenten
8 8 Vijf denkfouten over cybersecurity 02 De vijf meest gemaakte denkfouten over cybersecurity Cybersecurity heeft voor velen iets mysterieus. Dat is waarschijnlijk een van de redenen dat het thema niet altijd op de juiste wijze wordt benaderd. Op basis van onze praktijkervaringen gaan we in dit hoofdstuk in op de vijf meest voorkomende denkfouten over cybersecurity. 1 Denkfout: We moeten gaan voor 100% beveiliging Werkelijkheid: 100% zekerheid is onhaalbaar en ongewenst Vrijwel elke luchtvaartmaatschappij claimt dat vliegveiligheid de allerhoogste prioriteit heeft. Welbeschouwd is dat onmogelijk. Immers, als de veiligheid echt de hoogste prioriteit zou hebben, dan zou er geen vliegtuig meer opstijgen. Datzelfde geldt ook voor cybersecurity. Met name grote organisaties met een grote maatschappelijke bekendheid zullen een keer te maken krijgen met een incident waarbij informatie wordt ontvreemd of publiek gemaakt, of met een meer ingrijpende verstoring van bedrijfsprocessen. Hoge bomen vangen immers veel wind. satie én de crimineel (preventie), het signaleren en analyseren van de belangrijkste activa (detectie) en het opzetten van een organisatie die incidenten direct oppakt (respons). In de praktijk ligt de nadruk nu vaak op de preventie (het opwerpen van dikke en hoge muren die indringers moeten tegenhouden). Wie echter doordrongen is van het feit dat een volledige beveiliging een illusie is en dat cybersecurity business as usual is begrijpt direct dat er vooral ook meer nadruk moet zijn op een adequate respons. Organisaties moeten in staat zijn om na een incident variërend van diefstal van informatie tot een ontwrichtende aanval op de kernsystemen snel de zaken op orde te krijgen. Daarmee bewijzen ze dat ze in control zijn. 2 Denkfout: Als we investeren in bestof-class tools, dan zijn we veilig Werkelijkheid: Cybersecurity gaat minder om technologie dan u denkt De wereld van cybersecurity wordt gedomineerd door gespecialiseerde leveranciers die geavanceerde Alleen al de bewustwording dat een 100% bescherming tegen cybercrime geen haalbaar en wenselijk doel is, is een belangrijke stap op weg naar een effectiever beleid. Dat maakt immers de weg vrij om met de bril van een risicomanager te kijken naar een goede beveiliging tegen cybercrime. Daarbij gaat het om het analyseren van risico s vanuit het perspectief van de organiproducten verkopen waarmee organisaties indringers kunnen weren of tijdig opsporen. Die tools zijn essentieel voor een adequate beveiliging evenals een goede samenhang in de technologie (de architectuur) maar vormen niet het startpunt van een goed beleid voor cybersecurity: A fool with a tool is still a fool. De aanschaf van goede tools is namelijk juist de laatste stap in dat beleid. Goede beveiliging begint met het op orde krijgen van de processen voor cyber defense. Daarbij hoort ook dat de professionals in de IT-functie volledig doordrongen zijn van de noodzaak tot cybersecurity. Daarnaast gaat het om kennis en bewustzijn bij de eindgebruiker. De mens is en blijft zowel als IT-professionals als eindgebruiker - vaak de zwakste schakel als het gaat om veiligheid en investeren in de allerbeste tools is dan ook alleen maar zinvol als mensen hun verantwoordelijkheden op dit punt begrijpen. Social engineering - waarbij hackers het vertrouwen winnen van medewerkers door slim sociaal gedrag en daardoor toegangsrechten weten te krijgen tot systemen blijft een van de belangrijkste risico s. En daar is met technologie weinig tegen te doen. De juiste
9 Vijf denkfouten over cybersecurity 9 cultuur voor cybersecurity betekent ook dat er een open meldcultuur is waarin medewerkers zonder angst voor represailles melding kunnen doen van zaken die mis gaan. Juist daarom is het zaak dat bestuurders dit thema niet delegeren. Zij moeten oprechte interesse tonen en bereid zijn zich te verdiepen in de dilemma s die daarbij een rol spelen. Ze dienen het belang en de urgentie ervan uit te stralen naar de gehele organisatie, zodat er een cultuur kan ontstaan waarin medewerkers alert zijn op dreigingen. 3 Denkfout: Onze wapens moeten beter zijn dan die van de hackers Werkelijkheid: Het beveiligingsbeleid wordt primair door u bepaald, niet door de aanvallers De strijd tegen cybercrime is een typisch voorbeeld van een moeilijk te winnen ratrace. De aanvallers ontwikkelen steeds weer nieuwe methoden en technieken en de verdediger staat dan ook haast per definitie op achterstand. Zo lijkt het tenminste. Maar is dat wel zo? En is het dan wel zinvol om hijgend achter de vijand aan te lopen en nog betere tools in te zetten om hem buiten te houden? Natuurlijk is het zaak op zijn minst zo goed mogelijk bij te blijven in deze race en u goed te verdiepen in de (motieven en tactieken van) mogelijke aanvallers. Het is echter vooral ook verstandig om niet alleen maar in een reactieve rol te zitten maar in plaats daarvan het beleid ook vorm te geven vanuit het karakter van de eigen organisatie en een flexibele, proactieve houding in te nemen. Bestuurders dienen zich daartoe af te vragen waar de grote waarden in hun organisatie zitten en welke onderdelen essentieel zijn voor het bestaansrecht. Het beleid dient zich primair te richten op deze onderdelen, aangezien daar de grootste risico s zijn ten aanzien van kosten (reputatieschade, inkomstenderving, publiek worden intellectueel eigendom). Kortom: bestuurders mogen zich niet laten verblinden door de nieuwigheden in cybercrime, maar moeten vanuit de eigen organisatie redeneren. In feite gaat het voortdurend om het maken van een business case voor cybersecurity vanuit eigen kracht, en op basis daarvan een maatwerkaanpak met de juiste tools te ontwikkelen. Belangrijke vragen voor bestuurders zijn daarbij: Weten we voor wie we interessant zijn en waarom? Weten we welke risico s we op dit terrein bereid zijn om te accepteren (risk appetite) Hebben we inzicht in welke systemen de belangrijkste waarden (en ons bestaansrecht) liggen besloten? Wat die laatste vraag betreft: Een organisatie kan heel anders tegen de waarde van activa aankijken dan een crimineel. Het is dus belangrijk de waarde van activa te bekijken vanuit het perspectief van zowel de organisatie als dat van de crimineel 1. In dat opzicht moeten we ons ook realiseren dat het bedrijfsleven en de technologie zich in ketens hebben ontwikkeld en dat organisaties dus mede afhankelijk zijn van elkaars beveiliging. 4 Denkfout: We moeten streng controleren of de cybersecurity procedures worden nageleefd Werkelijkheid: Het vermogen om te leren is belangrijker dan het vermogen om te controleren Alleen een organisatie die in staat is om externe ontwikkelingen en plotselinge gebeurtenissen te vertalen naar het beleid door ervan te leren dus kan op langere termijn succes blijven boeken. Dat geldt op een breed terrein, en het geldt ook voor cybersecurity. De praktijk laat zien dat cybersecurity sterk wordt gedreven door compliance. Dat is begrijpelijk, want veel organisaties hebben te maken met verplichtingen vanuit een breed scala aan wet- en regelgeving. Het is echter contraproductief om compliance als een doelstelling van het cybersecuritybeleid te zien. 1 Zie ook Een genuanceerde visie op cybercrime, KPMG 2012
10 10 Vijf denkfouten over cybersecurity Het gaat immers bij cybersecurity niet alleen om het vermogen om te controleren maar ook om het vermogen om te leren. Dat betekent concreet onder andere het volgende: Organisaties moeten inzicht hebben in hoe de dreigingen en patronen in de omgeving zich ontwikkelen en daarop anticiperen; een scherp zicht hierop is vaak een veel betere versterking van de veiligheid dan het opwerpen van nog hogere muren door tools. Dat gaat verder dan monitoring van infrastructuren, het gaat om een slimme analyse van ontwikkelingen buiten de organisatie waarmee men patronen combineert. Dit aspect is vaak onderbelicht en biedt mogelijkheden om op kosteneffectieve wijze de veiligheid op een hoger niveau te krijgen. De praktijk is helaas dat veel organisaties teveel het wiel zelf uitvinden en te weinig gebruik maken van de kennis die er al is. Organisaties moeten zorgen dat incidenten ook worden geëvalueerd zodat er lering kan worden getrokken uit deze incidenten. De praktijk is echter dat er bij een incident nog te vaak in een paniekmodus wordt gehandeld. Daardoor is de reactie niet alleen suboptimaal paniek is vaak fnuikend voor daadkracht maar gaat ook het leereffect verloren. Als er goede feedback loops zijn, wordt het mogelijk om niet alleen maar brandjes te blussen maar ook om op basis van de ervaring met die brandjes te komen tot een betere brandpreventie. Datzelfde geldt ook voor de monitoring van aanvallen van buiten. In veel gevallen zijn er prima mogelijkheden geïmplementeerd voor monitoring, maar staat deze monitoring teveel in een isolement ten opzichte van de rest van de organisatie. Van de opgedane informatie wordt niet of onvoldoende geleerd. Bovendien vergt monitoring ook een goed doordachte focus: Pas als je goed weet wat je wilt monitoren, wordt monitoring een goed middel om aanvallen tijdig in het vizier te krijgen. Organisaties dienen de informatievoorziening over cybersecurity te structureren. Dit vergt onder andere 5 een betere informatievoorziening aan bestuurders: nagaan wanneer wel/niet escalatie naar boven nodig is en het bestuur een goed inzicht met de juiste mate van detail geven in welke risico s er spelen en hoe relevant deze op strategisch niveau zijn. Denkfout: We moeten de beste professionals aantrekken om ons te wapenen tegen cybercrime Werkelijkheid: Cybersecurity is geen afdeling maar een houding Cybersecurity wordt vaak gezien als de verantwoordelijkheid van een afdeling gespecialiseerde professionals. Dat doet echter geen recht aan de uitdaging en heeft bovendien het risico van schijnzekerheden. Want de rest van de organisatie beschouwt het niet als hun probleem als er incidenten optreden en de reflex is dan vaak om te investeren in verdere versterking van die afdeling. Dat is een heilloze weg. De echte uitdaging zit erin om cybersecurity te integreren in alles wat je doet. Dat betekent bijvoorbeeld dat cybersecurity een onderdeel is van het HR-beleid met in sommige gevallen zelfs een koppeling met het beloningsbeleid. Het betekent ook dat cybersecurity een centrale plaats moet krijgen bij de ontwikkeling van nieuwe IT-systemen en niet, zoals vaak gebeurt, op het einde van zo n project pas aandacht krijgt.
11 11 Telelens op de toekomst Vijf denkfouten over cybersecurity Komen tot een maatwerkaanpak De risico s zijn bij een lokale ondernemer van een heel ander kaliber dan bij een wereldwijd opererende multinational. Bij de laatste is de zichtbaarheid voor criminelen groter, is de afhankelijkheid van IT hoger, en staan er grotere belangen en (reputatie)risico s op het spel. In beide gevallen is het echter nodig om vanuit de typologie van de eigen organisatie, de risicobereidheid en de kennis te komen tot een maatwerkaanpak. Dat is echter precies waar het aan schort. In dit verband is het zinvol om de vergelijking te maken met hoe een juwelier komt tot een goede diefstalbeveiliging. De onderstaande tabel biedt dan ook zowel een MKB-onderneming als een multinational een kritische spiegel. Perspectief van juwelier op diefstalbeveiliging Ik weet welke waarden ik moet beschermen en stem mijn maatregelen daarop af. Ik zie diefstal als het risico van het vak en weet dat ik niet meer in business ben als ik 100% zekerheid wil. Ik focus op maatregelen die voorkomen dat er iemand naar buiten gaat met waardevolle spullen. Ik laat me niet gek maken door leveranciers van beveiligingsmiddelen en bepaal zelf wel wat ik aanschaf. Ik trek lering als het (bijna) fout gaat. Ik train medewerkers over hoe ze de risico s van diefstal kunnen verkleinen en spreek hen erop aan als ze fouten maken. Ik investeer in middelen omdat dat mijn bestaansrecht is. Veel voorkomend perspectief op cybersecurity Ik neem maatregelen zonder een goed beeld te hebben van welke waarden essentieel zijn om te beschermen. Ik zie cybercrime als iets exotisch en streef naar 100% zekerheid. Ik focus op maatregelen die voorkomen dat er iemand binnenkomt en vergeet om maatregelen te nemen die tegengaan dat er informatie naar buiten gaat. Ik laat mijn security beleid sterk afhangen van de beschikbare middelen op de markt zonder precies te weten wat ik nodig heb. Ik schiet in de paniek als het (bijna) fout gaat. Ik beschouw cybersecurity vooral als een zaak van gespecialiseerde professionals en wil er de rest van de organisatie niet teveel mee lastig vallen. Ik investeer in middelen omdat dat verplicht is en omdat er elke dag incidenten staan in de media.
12 12 Vijf denkfouten over cybersecurity 04 Hoe weet u als bestuurder hoe uw organisatie ervoor staat? Als bestuurder wilt u weten of uw organisatie een adequaat beleid heeft voor cybersecurity. KPMG gaat daarbij uit van een model dat op zes dimensies een visie oplevert. Legal & Compliance Leadership Human Factors Leiderschap en governance Bestuurders dienen in woord en daad te laten zien dat ze zich eigenaar voelen van het thema en laten zien dat ze de ermee samenhangende risico s adequaat willen managen. Gedragsfactoren Cybersecurity heeft niet (alleen) te maken met de juiste technische maatregelen, maar ook met het creëren van een cultuur waarin mensen alert zijn en zich bewust zijn van hoe zij kunnen bijdragen aan veiligheid. Ops & Technology Info Risk Mgmt Information Risk Management Een adequate aanpak voor alomvattend en effectief risicomanagement ten aanzien van informatievoorziening, ook in relatie tot partnerorganisaties. Business Continuity
13 Vijf denkfouten over cybersecurity 13 Business Continuity en Crisis Management Een goede voorbereiding op eventuele incidenten en het vermogen om de impact van deze incidenten te minimaliseren. Dit omvat onder meer crisis- en stakeholdermanagement. Beheersmaatregelen en controls De implementatie van controle- en beheersingsmaatregelen in de organisatie om risico s van cybersecurity te identificeren en de impact van incidenten te minimaliseren. Juridisch Het voldoen aan wet- en regelgeving ten aanzien van informatiebeveiliging. Het toepassen van dit holistische model levert organisaties het volgende op: Het minimaliseren van het risico dat een organisatie wordt getroffen door een cyberaanval van buiten en het minimaliseren van de eventuele gevolgen van een succesvolle aanval. Betere beslissingen op het gebied van cybersecurity: de informatievoorziening over maatregelen, aanvalspatronen en incidenten wordt daartoe geoptimaliseerd. Heldere communicatielijnen over het thema cybersecurity. Iedereen kent zijn verantwoordelijkheden en weet wat er moet gebeuren als er (vermoedens van) incidenten zijn. Een bijdrage aan een betere reputatie. Een organisatie die goed is voorbereid en goede afwegingen over het thema cybersecurity heeft gemaakt kan op vertrouwenwekkende wijze communiceren over dit thema. Het verhogen van de kennis en competenties over cybersecurity. Het benchmarken van de organisatie op het gebied van cybersecurity in relatie tot peers. Leadership and Governance Board demonstrating due diligence, ownership and effective management of risk. Information Risk Management The approach to achieve comprehensive and effective risk management of information throughout the organization and its delivery and supply partners. Operations and Technology The level of control measures implemented to address identified risks and minimize the impact of compromise. Human Factors The level and integration of a security culture that empowers and ensures the right people, skills, culture and knowledge. Business Continuity and Crisis Management Preparations for a security event and ability to prevent or minimize the impact through succesful crisis and stakeholder management. Legal and Compliance Regulatory and international certification standards as relevant.
14 14 Vijf denkfouten over cybersecurity 05 Tot slot... tijd voor actie Cybersecurity is zeker een thema dat u als bestuurder op uw agenda moet hebben staan. Zowel uw toezichthouders, raad van commissarisleden als aandeelhouders verwachten dat u voldoende aandacht heeft voor deze steeds groter wordende problematiek. Daarom is het noodzakelijk om de volgende vragen te beantwoorden voor uw organisatie: 1 Hoe groot is het risico voor mijn organisatie, alsmede de organisaties waar ik zaken mee doe? Startpunt van uw verkenning van dit probleem, is het bepalen van het risicoprofiel van uw organisatie. Hoe interessant is uw organisatie voor potentiële cybercriminelen? Hoe afhankelijk is uw organisatie van de dienstverlening van andere organisaties. En tenslotte hoeveel risico wilt u als organisatie lopen? Immers 100% veiligheid bestaat niet! Bij deze een paar kernvragen die u kunt gebruiken voor het bepalen van uw risicoprofiel alsook risk appetite: Weten we welke processen en/of systemen de grootste waarde vertegenwoordigen vanuit het perspectief van cybersecurity? Hebben we wel bewust nagedacht over hoeveel risico s we voor deze processen en/of systemen bereid zijn te accepteren? (risk appetite) Hoe geïntegreerd / afhankelijk is de dienstverlening van de organisatie met / van dienstverlening van partners (toeleveranciers, klanten) en wat is de mate van integratie van de ondersteunende IT processen? Hebben deze partners een zelfde beeld over de risk appetite en de daarop afgestemde maatregelen op het gebied van cybersecurity? Ontwikkelen we duidelijke business cases voor onze investeringen in cybersecurity?
15 Vijf denkfouten over cybersecurity 15 2 Technologie is niet het antwoord, het antwoord is gelegen in de combinatie van governance, cultuur en gedrag. En u als bestuurder heeft daar een belangrijke rol. Zonder uw commitment zal een gedrags- en cultuurverandering in uw organisatie niet plaatsvinden. Kernvragen die in dit kader relevant zijn om te beantwoorden: Hebben we zicht op hoe onze organisatiecultuur bijdraagt (of juist een belemmering vormt) voor goede cybersecurity? Wanneer hebben we als bestuur voor het laatst zelf iets gecommuniceerd over (het belang van) cybersecurity? Zijn we voorbereid om te handelen bij een crisis of incident? Weten wie wie en hoe we moeten communiceren? En kunnen we dan aan stakeholders verantwoording afleggen over hoe ons beleid voor cybersecurity eruit ziet? 3 Hoeveel budget moet u als organisatie vrijmaken en waar aan te besteden? Afhankelijk van het risicoprofiel van uw organisatie, kan het budget voor cybersecurity oplopen tot 3 tot 5% van uw totale IT budget. Op dit moment wordt vaak een significant deel besteed aan het implementeren van technologische oplossingen alsmede het oplossen van problemen uit het verleden. Kernvraag die hier te beantwoorden is: Hoeveel van ons budget gaat naar het oplossen van problemen uit het verleden en hoeveel naar structurele investeringen in betere veiligheid (security by design) van systemen? Maar dit is slechts een deel van de oplossing. Zonder een goede governance, goede cyber security processen en natuurlijk ruime aandacht voor de bewustwording en cultuurverandering, zullen deze technologische oplossingen hun waarde niet bewijzen. Kortom, stel u eens de vraag: Hoeveel van ons budget voor cybersecurity gaat naar systemen en tools, en hoeveel naar bewustwording en cultuurverandering? Kortom, tijd voor actie! Deze publicatie is tot stand gekomen met dank aan: Peter Kornelisse, Koos Wolters, Dennis van Ham, Ronald Heil, Harald Oymans, Stan Hegt en Tamara Kipp.
16 Contact John Hermans KPMG Cybersecurity Lead Partner T: +31 (0) E: Gerben Schreurs Partner KPMG Forensic T: +31 (0) E: schreurs. KPMG Laan van Langerhuize DS Amstelveen P.O. Box DC Amstelveen De in dit document vervatte informatie is van algemene aard en is niet toegespitst op de specifieke omstandigheden van een bepaalde persoon of entiteit. Wij streven ernaar juiste en tijdige informatie te verstrekken. Wij kunnen echter geen garantie geven dat dergelijke informatie op de datum waarop zij wordt ontvangen nog juist is of in de toekomst blijft. Daarom adviseren wij u op grond van deze informatie geen beslissingen te nemen behoudens op grond van advies van deskundigen na een grondig onderzoek van de desbetreffende situatie., ingeschreven bij het handelsregister in Nederland onder nummer , is een dochtermaatschappij van KPMG Europe LLP en lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative ( KPMG International ), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG, het logo en cutting through complexity zijn geregistreerde merken van KPMG International.
16 Cyber security: een relevant onderwerp voor iedere bestuurder
16 Cyber security: een relevant onderwerp voor iedere bestuurder John Hermans 1. Inleiding Dat cyber security belangrijk is voor elke organisatie, dat behoeft eigenlijk geen nadere toelichting. Vrijwel
Nadere informatieCyber security, een onderwerp voor aan de bestuurstafel
Cyber security, een onderwerp voor aan de bestuurstafel Ing. John Hermans RE Cyber security, een onderwerp dat de laatste jaren volop in de schijnwerpers staat. Met name door het aantal en de ernst van
Nadere informatieRisico s managen is mensenwerk
TRANSPORT Risico s managen is mensenwerk Ondernemen is kansen zien en grijpen, maar ook risico s lopen. Risicomanagement behoort daarom tot de vaste agenda van bestuurders en commissarissen. Omdat ook
Nadere informatieSeminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!
Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1! 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten
Nadere informatiekpmg ESG compliance Masterclass voor professionals in de pensioensector kpmg.nl Eversheds-Sutherland.com/ESAdvisoryNL
kpmg ESG compliance Masterclass voor professionals in de pensioensector kpmg.nl Eversheds-Sutherland.com/ESAdvisoryNL Deze Masterclass is de training bij uitstek voor pensioen professionals die zich willen
Nadere informatieESG compliance. Masterclass. Voor professionals in de pensioensector. kpmg.nl Eversheds-Sutherland.com/ESAdvisoryNL
ESG compliance Masterclass Voor professionals in de pensioensector kpmg.nl Eversheds-Sutherland.com/ESAdvisoryNL Deze Masterclass is de training bij uitstek voor pensioen professionals die zich willen
Nadere informatieSecurity Management Trendonderzoek. Chloë Hezemans
Security Management Trendonderzoek Chloë Hezemans Security Management Survey (5 e editie) Agenda Voorstellen Methode Trends Opvallende resultaten deze editie Security Management 2020? Voorstellen Chloë
Nadere informatieVeranderende eisen van institutionele klanten. Institutioneel vermogensbeheer in 2020 11 december 2012
Veranderende eisen van institutionele klanten Roel Menken Institutioneel vermogensbeheer in 2020 11 december 2012 2020 is geen science fiction 2020 is al over 7 jaar! Parallellen met de consumentengoederenmarkt
Nadere informatieIdentity & Access Management & Cloud Computing
Identity & Access Management & Cloud Computing Emanuël van der Hulst Edwin Sturrus KPMG IT Advisory 11 juni 2015 Cloud Architect Alliance Introductie Emanuël van der Hulst RE CRISC KPMG IT Advisory Information
Nadere informatieOPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw
OPERATIONEEL RISKMANAGEMENT Groningen, maart 2016 Wim Pauw Risicomanagement Risicomanagement is steeds meer een actueel thema voor financiële beleidsbepalers, maar zij worstelen vaak met de bijbehorende
Nadere informatieINFORMATIEVEILIGHEID een uitdaging van ons allemaal
INFORMATIEVEILIGHEID een uitdaging van ons allemaal FAMO Mini Congres: Harro Spanninga, Peter Keur Agenda Inleiding op informatieveiligheid De opdracht van de taskforce Interactief verankeren van informatieveiligheid
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieOnderzoeksresultaten big data. Ook middenbedrijf ontdekt toegevoegde waarde big data
Onderzoeksresultaten big data Ook middenbedrijf ontdekt toegevoegde waarde big data Mei 2014 Inhoudsopgave Samenvatting 2 Onderzoeksresultaten 3 Contactpersonen 7 Onderzoeksresultaten big data 2 Samenvatting
Nadere informatieOnderzoek Soft controls bij interne accountantsdiensten: Terugkoppeling bevindingen
RISK & COMPLIANCE Onderzoek Soft controls bij interne accountantsdiensten: Terugkoppeling bevindingen 16 februari 2010 ADVISORY Onderwerp: Onderzoek Soft controls binnen interne accountantsdiensten Geachte
Nadere informatieSturing op ICT STRATEGISCHE BESLUITVORMING GOVERNANCE INNOVATIE. 24 sept 2015; Jurgen Bomas
Sturing op ICT STRATEGISCHE BESLUITVORMING GOVERNANCE INNOVATIE Sturen op ICT en samenhang met business Maes als onderzoek model Vanuit onderzoek in bedrijfsleven: IT beslissing Rol Directie Consequentie
Nadere informatiebedrijfsfunctie Harm Cammel
Legal als geïntegreerde bedrijfsfunctie Harm Cammel Legal als Business functie Observatie 1. Door veranderende klantbehoefte verandert (een deel van) de Legal functie van ad hoc en vak gedreven naar continu
Nadere informatieSecurity Starts With Awareness
Security Starts With Awareness Think Secure Think Secure is in 2003 opgericht met het doel organisaties te ondersteunen met kennis en diensten die: 1.Het bewustzijn m.b.t. informatie- en ICT beveiliging
Nadere informatieUnified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.
Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk
Nadere informatieNationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research
Nationale IT Security Monitor 2015 Peter Vermeulen Over het Onderzoek Jaarlijks terugkerende vragen Organisatie en beleid Investeringen en groei 2015 Thema s Databeveiliging (incl. Algemene Data Protectie
Nadere informatieHOE OMGAAN MET DE MELDPLICHT DATALEKKEN?
HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We
Nadere informatieSourcing realiseert u onder andere met behulp van een van de volgende oplossingsrichtingen:
Sourcing ADVISORY Sourcing wordt door veel organisaties omarmd als een belangrijk middel om de financiële en operationele prestatie te verbeteren. Welke functies binnen de organisatie behoren echt tot
Nadere informatiekpmg Internal Audit Masterclass voor professionals in de pensioensector kpmg.nl
kpmg Internal Audit Masterclass voor professionals in de pensioensector kpmg.nl De Internal Audit Masterclass voor pensioenfondsen is bij uitstek de training voor de professional in de pensioensector die
Nadere informatieProactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit
Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Beheer kan efficiënter en met hogere kwaliteit Leveranciers van beheertools en organisaties die IT-beheer uitvoeren prijzen
Nadere informatieGOVERNANCE, RISK & COMPLIANCE WHITEPAPER
GOVERNANCE, RISK & COMPLIANCE De wereld van vandaag wordt gekenmerkt door de snelle ontwikkeling van nieuwe technologieën en disruptieve marktomstandigheden. Deze ontwikkelingen hebben verregaande gevolgen
Nadere informatieICT-Risico s bij Pensioenuitvo ering
ICT-Risico s bij Pensioenuitvo ering Seminar Instituut voor Pensioeneducatie 13 juni 2018 Introductie en kennismaking Ali Alam + Senior Consultant bij KPMG IT Assurance & Advisory + Ruime ervaring met
Nadere informatieBusiness as (un)usual
Business as (un)usual Beperking van de impact van incidenten begint vandaag! Aon Global Risk Consulting Business Continuity Practice Continuiteit = basis voor succesvol ondernemen.voor u business as usual?
Nadere informatieINFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga
INFORMATIEVEILIGHEID een uitdaging van ons allemaal ICT Noord, Harro Spanninga Agenda Toelichting op de Taskforce BID Introductie thema Informatieveiligheid Technisch perspectief Perspectief van de overheid
Nadere informatieInformatiebeveiliging voor gemeenten: een helder stappenplan
Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers
Nadere informatie6. Project management
6. Project management Studentenversie Inleiding 1. Het proces van project management 2. Risico management "Project management gaat over het stellen van duidelijke doelen en het managen van tijd, materiaal,
Nadere informatieHelp, mijn datacenter is gehackt! KPN Security Services / Han Pieterse
Help, mijn datacenter is gehackt! KPN Security Services / Han Pieterse Cyber Security betreft het reduceren van gevaar of schade veroorzaakt door introductie van nieuwe technologie, storing of uitval van
Nadere informatieEen praktische oplossing voor uw meldplicht datalekken
Een praktische oplossing voor uw meldplicht datalekken In vier stappen het lek gedicht! De redactie - 18 okt 2016 In het bedrijfsleven bestaat onrust over de nieuwe Meldplicht Datalekken mede ingegeven
Nadere informatieSeize the cloud?! Seminar Aviodrome, Lelystad 23 maart 2011
Seize the cloud?! Seminar Aviodrome, Lelystad 23 maart 2011 Cloud computing Waar begin je aan? Piloot Martin van den Berg, Sogeti NL 3 Agenda 4 Kijkje achter de wolken Yes, het werken in de cloud heeft
Nadere informatieSTAKEHOLDERS. Hoe gaan we daar mee om? Jacques van Unnik Manager Personnel Certification & Training 3 december 2015 BUSINESS ASSURANCE
BUSINESS ASSURANCE STAKEHOLDERS Hoe gaan we daar mee om? Jacques van Unnik Manager Personnel Certification & Training 3 december 2015 1 DNV GL 2014 Stakeholders 19 November 2015 SAFER, SMARTER, GREENER
Nadere informatieHOE KAN U VANDAAG INFORMATIE VEILIGHEID REALISEREN OP EEN PRAKTISCHE MANIER?
HOE KAN U VANDAAG INFORMATIE VEILIGHEID REALISEREN OP EEN PRAKTISCHE MANIER? http://www.privacycommission.be/sites/privacycommission/files/documents/richtsnoeren_informatiebeveiliging_0.pdf https://www.ksz-bcss.fgov.be/nl/bcss/page/content/websites/belgium/security/security_01.html
Nadere informatieBusiness Continuity Management
Business Continuity Management Aart Bitter - 14 januari 2014 SAFER, SMARTER, GREENER Praktijk case Wij zijn als bierbrouwerij voorgedragen om onze producten te leveren aan het Holland House tijdens het
Nadere informatieWhitepaper. Inzetten op integrale veiligheid
Whitepaper Inzetten op integrale veiligheid Inzetten op integrale veiligheid Verliezen lijden? Door fraude, diefstal of schade? Of letsel? Daar zit u niet op te wachten. Sterker nog, u heeft zich ertegen
Nadere informatieNieuwe contractvormen en projectcontrol
Nieuwe contractvormen en projectcontrol Rin-Sjoerd Zijlstra 12 juni 2014 Agenda Projecten in het nieuws Nieuwe kijk op projecten? Projectfalen en contractvorm Keuze voor juiste contractvorm Projectcontrol
Nadere informatieTags: online; websites; automatisering; infrastructuur; cloud; infrastructure; Mirabeau; 626; automation; guidelines
Asset 1 van 4 Effectief in de cloud Gepubliceerd op 7 october 2013 Cloud technologie speelt een steeds grotere rol binnen de exploitatie van web omgevingen. De voordelen van cloud zijn inmiddels breeduit
Nadere informatieCYBERSECURITY HEALTH CHECK - MIDDELGROTE BEDRIJVEN -
CYBERSECURITY HEALTH CHECK - MIDDELGROTE BEDRIJVEN - Oproep Voor u ligt de Cybersecurity Health Check, een hulpmiddel dat u in staat stelt inzicht te krijgen in de staat van cyberbeveiliging van uw organisatie.
Nadere informatieVan Samenhang naar Verbinding
Van Samenhang naar Verbinding Sogeti Page 2 VAN SAMENHANG NAAR VERBINDING Keuzes, keuzes, keuzes. Wie wordt niet horendol van alle technologische ontwikkelingen. Degene die het hoofd koel houdt is de winnaar.
Nadere informatieCYBER SECURITY MONITORING
THREAT INTELLIGENCE & ANALYTICS CYBER SECURITY MONITORING Het continu monitoren van het netwerkverkeer en logbestanden draagt bij aan het vroegtijdig detecteren van bijvoorbeeld malware, ransomware of
Nadere informatieBENT U ER KLAAR VOOR?
ISO 9001:2015 EN ISO 14001:2015 HERZIENINGEN ZIJN IN AANTOCHT BENT U ER KLAAR VOOR? Move Forward with Confidence WAT IS NIEUW IN ISO 9001:2015 & ISO 14001:2015 MEER BUSINESS GEORIENTEERD KERNASPECTEN "LEIDERSCHAP
Nadere informatieWat is marketing dan wel? De beste omschrijving komt uit het Engels.
KENNETH NIEUWEBOER M arketing is meer dan het ontwikkelen van een logo en het bewaken van je huisstijl. Als er een goede strategie achter zit, levert marketing een wezenlijke bijdrage aan het rendement
Nadere informatieVisie op cybercrime. Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab. Rabobank Nederland. Februari 2011
Visie op cybercrime Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab Februari 2011 Rabobank Nederland Virtuele kanalen... Er zijn vele wegen Telefoon Voice & IVR (DTMF) TV WWW e-mail
Nadere informatieWhitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com
Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties
Nadere informatieDigital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services
Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf
Nadere informatieDe controller met ICT competenties
De controller met ICT competenties Whitepaper door Rob Berkhof Aangeboden door NIVE Opleidingen De controller met ICT competenties De huidige samenleving is nauwelijks meer voor te stellen zonder informatisering.
Nadere informatieMeer Business mogelijk maken met Identity Management
Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent
Nadere informatieWelkom op dit symposium met de pakkende titel Cybercrime, de digitale vijand voor ons allen.
Speech Erik Akerboom, Secretaris-generaal Ministerie van Defensie Symposium KVNRO Cybercrime, de digitale vijand voor ons allen Donderdag 20 november, KMA te Breda Dames en heren, Welkom op dit symposium
Nadere informatieBEVEILIGINGSARCHITECTUUR
BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten
Nadere informatieFMIS als facilitaire tool. Tips voor aanschaf en implementatie
FMIS als facilitaire tool Tips voor aanschaf en implementatie Inhoud Voorwoord Rondetafelgesprek FMISmonitor 2012 Cijfers, trends en ontwikkelingen Nederlandse FMIS-markt FMIS en het hbo-fm-onderwijs Tien
Nadere informatieISO 9001: Business in Control 2.0
ISO 9001: 2015 Business in Control 2.0 Waarom Geintegreerd toepassen verschillende management normen Betere aansluiting normen op de strategie; zorgen voor een goede inbedding in de bedrijfsvoering WAAROM
Nadere informatieWat is? Alles zelf doen is uit, ga samen aan de slag.
Wat is? Alles zelf doen is uit, ga samen aan de slag. CrossOver brengt young en experienced professionals van verschillende organisaties bij elkaar om van elkaar te leren en samen te innoveren. Doe ook
Nadere informatieWat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant
Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management
Nadere informatieFactsheet Training Project Leadership Simulatie (PLS)
Factsheet Training Project Leadership Simulatie (PLS) LEARNING BY DOING Kort signalement Road2Results heeft op basis van haar jarenlange ervaring met het managen van business en ICT projecten vanuit diverse
Nadere informatieVisie op crisismanagement in de zorgsector en de toegevoegde waarde van een Integraal Crisisplan. All hazard voorbereid zijn (1 van 3)
Visie op crisismanagement in de zorgsector en de toegevoegde waarde van een Integraal Crisisplan All hazard voorbereid zijn (1 van 3) Versie 1.0 11 november 2014 Voorwoord Zorginstellingen zijn vanuit
Nadere informatieIBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data
Asset 1 van 10 Big Data Analytics voor Dummies Gepubliceerd op 30 june 2014 Gelimiteerde editie van de populaire Dummies-reeks, speciaal voor managers. Het boek legt uit waarom Big Data Analytics van cruciaal
Nadere informatieIntro ISO. Finance. Wie zijn wij? Producten. Programma
1 Intro 2 Wie zijn wij? Producten ISO Programma ICT Finance Producten 3 Visma/AccountView Vivaldi (Interim) (Financieel) Management Workshops & Trainingen De 4U way 4 Nadruk op training en kennisoverdracht.
Nadere informatieInvestment Management. De COO-agenda
Investment Management De COO-agenda Vijf thema s 1) Markt 2) Wet- en regelgeving 3 5) Rol van de COO 5 3) Operations 4) Technologie 2012 KPMG Accountants N.V., registered with the trade register in the
Nadere informatieEnd-note. Sven Noomen Wouter Heutmekers
End-note Sven Noomen Wouter Heutmekers 2 Ok, en morgenvroeg? Voorstellen 25111978 14 8 4 6 23 25031981 12 3 1 1339 3 Think BIG Act SMALL 2011 Scale FAST 4 5 6 Visie & strategie Strategie Ondersteuning
Nadere informatieWat zijn e-skills? Wat is het probleem met e-skills?? Wat is het probleem voor Nederland? TaskForce e-skills Nederland
Agenda Wat zijn e-skills? Wat is het probleem met e-skills?? Wat is het probleem voor Nederland? TaskForce e-skills Nederland Resultaten Ronde Tafel Conferentie 15 september Plan van Aanpak Nederland e-skills
Nadere informatieDNB BCM Seminar 2013 Speech Frank Elderson Woensdag 27 november 2013
DNB BCM Seminar 2013 Speech Frank Elderson Woensdag 27 november 2013 Vrijdag middag 5 april. Net lekker geluncht en dan: bericht van het sector crisismanagement secretariaat. Trouble in paradise!!! Er
Nadere informatieData en Applicatie Migratie naar de Cloud
Data en Applicatie Migratie naar de Cloud Iris Pinkster Professional Testing 1 Agenda - Introductie - De Cloud een introductie - Keuze van geschikte applicaties - Migratie strategieën - Test strategieën
Nadere informatiew o r k s h o p s 2 0 1 5
workshops 2015 Security en social engineering Internet is niet meer weg te denken uit ons dagelijks leven: bankzaken, contacten, informatie zoeken, (ver)kopen, spelletjes en ander vermaak vinden via internet
Nadere informatieUtrecht Business School
Cursus Controlling & Accounting De cursus Controlling & Accounting duurt ongeveer 2 maanden en omvat 5 colleges van 3 uur. U volgt de cursus met ongeveer 10-15 studenten op een van onze opleidingslocaties
Nadere informatieJuryrapport Dyade Bestuursbokaal 2015
Juryrapport Dyade Bestuursbokaal 2015 Indien van toepassing gebruiken. Kies uit de lijst hieronder en vul in (in HOOFDLETTERS) Banking Energy & Natural Resources Private Equity Insurance Communication
Nadere informatieUitkomsten onderzoek Controle en Vertrouwen. 7 mei 2012
Uitkomsten onderzoek Controle en Vertrouwen 7 mei 2012 Voorwoord Onderwerp: resultaten onderzoek Controle en Vertrouwen Geachte heer, mevrouw, Hartelijk dank voor uw medewerking aan het onderzoek naar
Nadere informatieCORPORATIEBESTUURDER: EEN VAK APART
CORPORATIEBESTUURDER: EEN VAK APART Analyse van instroom en uitstroom van bestuurders van woningcorporaties 2010-2014 KPMG branchegroep Woningcorporaties op verzoek van Nederlandse Vereniging van Bestuurders
Nadere informatieSecurity manager van de toekomst. Bent u klaar voor de convergentie?
Security manager van de toekomst Bent u klaar voor de convergentie? Agenda Introductie Convergentie - De rol en positie van Security in beweging - Wat zien we in de praktijk? - Waar gaat het naar toe?
Nadere informatieSymposium Groene ICT en duurzaamheid januari 2014
Missie Visie ICT groeit, ongecontroleerd, in een ijzingwekkend tempo. In hetzelfde tempo groeit onze afhankelijkheid, ongecontroleerd. Dit levert een enorm spanningsveld waarvan weinig mensen zich bewust
Nadere informatieNN statement of Living our Values
NN statement of Living our Values Onze doelstelling Onze geschiedenis gaat terug tot 1845. Sindsdien is ons bedrijf gefuseerd, gegroeid en veranderd, maar de kern van wie wij zijn is hetzelfde gebleven:
Nadere informatieCASE STUDY JOANKNECHT & VAN ZELST DENKT VOORUIT
Exact Online CASE STUDY JOANKNECHT & VAN ZELST DENKT VOORUIT www.exactonline.nl 2 EXACT ONLINE CASE STUDY ACCOUNTANCY GROEI DOOR PROACTIEF ADVIES Het gaat goed bij Joanknecht & Van Zelst: dit Eindhovens
Nadere informatieACTUEEL? http://copsincyberspace.wordpress.com/
ACTUEEL? http://copsincyberspace.wordpress.com/ ACTUEEL? Bron: deredactie.be ACTUEEL? ACTUEEL? Gerecht onderzoekt cyberspionage bij Belgische topbedrijven Bron: De Tijd 26/08/2014 Bron: De Standaard Actueel?
Nadere informatieIN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM
IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM De tijd dat MVO was voorbehouden aan idealisten ligt achter ons. Inmiddels wordt erkend dat MVO geen hype is, maar van strategisch belang voor ieder
Nadere informatieJe bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers
Je bent zichtbaarder dan je denkt Een programma over cyber security awareness Informatie voor managers Je bent zichtbaarder dan je denkt Informatie voor managers 2 Voorwoord Het cybersecuritybeeld van
Nadere informatieWIN[S] ANALYSE. Eerste stap naar een Efficiëntere werkplek. 1 of of 81
WIN[S] ANALYSE Eerste stap naar een Efficiëntere werkplek. 1 of 81 1 of 81 HALLO! WIJ ZIJN UFIRST ONZE AMBITIE NL ORGANISATIES (BE)GELEIDEN TOT EEN HOGERE PEFORMANTIE DOOR EFFICIËNTE WERKPLEKDIENSTEN EN
Nadere informatieWat is competentiemanagement en hoe ga je ermee om? Welke resultaten zijn er te behalen? Welke valkuilen kom je tegen?
Competentiemanagement Wat is competentiemanagement en hoe ga je ermee om? Welke resultaten zijn er te behalen? Welke valkuilen kom je tegen? Vragen die door de praktijkervaringen van de afgelopen jaren
Nadere informatieMANAGEMENTBEOORDELING: VAN ANDERS DENKEN NAAR ANDERS DOEN!
WHITEPAPER MANAGEMENTBEOORDELING: VAN ANDERS DENKEN NAAR ANDERS DOEN! ALLES WAT U MOET WETEN OVER HOE U VAN EEN MANAGEMENT- BEOORDELING EEN SUCCES MAAKT ÉN TEGELIJKERTIJD VOLDOET AAN DE EISEN DIE AAN EEN
Nadere informatieBedrijfscontinuïteit met behulp van een BCMS
Bedrijfscontinuïteit met behulp van een BCMS 26 november 2014 Aart Bitter@ISGcom.nl www.information-security-governance.com Disaster Recovery Plan 2 The Bitter Brew Case To Brew or not to Brew, That s
Nadere informatieIn deze nieuwsbrief. Het belang van Strategisch Risico Management
In deze nieuwsbrief Het belang van Strategisch Risico Management Van Videoanalyse naar Nieuwe Fabrieksinrichting Spelenderwijs de risico s voor een Woningcorporatie bespreken en oplossen Een Team samenstellen?
Nadere informatieVoor vandaag. Balanced Scorecard & EFQM. 2de Netwerk Kwaliteit Brussel 22-apr-2004. Aan de hand van het 4x4 model. De 3 facetten.
Balanced Scorecard & EFQM 2de Netwerk Kwaliteit Brussel 22-apr-2004 Voor vandaag! Grondslagen van Balanced Scorecard Aan de hand van het 4x4 model! Het EFQM model in vogelvlucht De 3 facetten! De LAT-relatie
Nadere informatieCybersecuritybeeld Nederland
Cybersecuritybeeld Nederland CSBN 2015 Pieter Rogaar 12 november 2015 CSBN 2015 in het kort Doel: inzicht bieden in ontwikkelingen, belangen, dreigingen en weerbaarheid op het gebied van cybersecurity
Nadere informatieUtrecht Business School
Cursus IT & Process Management De cursus IT & Process Management duurt ongeveer 2 maanden en omvat 5 colleges van 3 uur. U volgt de cursus met ongeveer 10-15 studenten op een van onze opleidingslocaties
Nadere informatieKAIZEN Institute wereldwijd
KAIZEN Institute wereldwijd Benelux Oprichter Masaaki Imai KAIZEN is K A I Veranderen Z E N om beter te worden. K A I Z E N = CI - Continu Verbeteren Iedereen! Elke dag! Overal!... CI Lean Strategie! Hoe
Nadere informatieAgenda. De Cyberwereld. - Cybercrime en Cyber Security - Veilig Zakelijk Internetten. Allianz Cyber
Cyber Security Agenda De Cyberwereld - Cybercrime en Cyber Security - Veilig Zakelijk Internetten Allianz Cyber - Allianz Cyber Risicoscan - Allianz Cyberverzekering - Allianz Cyber Hulpdienst - Cyber
Nadere informatieSTRATEGIE IMPLEMENTATIE SUCCESFACTOREN
STRATEGIE IMPLEMENTATIE FACTOREN 9 FACTOREN VOOR STRATEGIE IMPLEMENTATIE STRATAEGOS.COM STRATEGIE IMPLEMENTATIE ALS CONCURRENTIEVOORDEEL 1 2 3 4 5 Om succesvol te zijn en blijven moeten organisaties hun
Nadere informatieRegie uit een andere Branche. Hoe om te gaan met de vraag en de levering. Facto Magazine Congres 12 mei 2009. www.quintgroup.com
Regie uit een andere Branche Facto Magazine Congres 12 mei 2009 Hoe om te gaan met de vraag en de levering THIS DOCUMENT CONTAINS PROPRIETARY INFORMATION, WHICH IS PROTECTED BY COPYRIGHT. ALL RIGHTS RESERVED.
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieESET NEDERLAND SECURITY SERVICES PREDICTION
ESET NEDERLAND SECURITY SERVICES PREDICTION PREVENTION DETECTION RESPONSE ESET NEDERLAND SECURITY OPERATIONS CENTER Sinds november 2015 heeft ESET Nederland zijn eigen Security Operations Center (SOC)
Nadere informatieDe essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij
De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er
Nadere informatieResultaat vanuit zingeving
Resultaat vanuit zingeving WIE ZIJN WE? WAT DOEN WE? Berry de Boer en Edwin Luijendijk 2 training-nu Training-NU We leven in een tijd waarin veranderingen elkaar steeds sneller opvolgen. Eén gouden idee
Nadere informatieSr. Security Specialist bij SecureLabs
Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten
Nadere informatieMeldplicht datalekken in de praktijk Nationaal onderzoek onder > 300 organisaties
Meldplicht datalekken in de praktijk Nationaal onderzoek onder > 300 organisaties 1 Analyse Sinds het in werking treden van de Meldplicht Datalekken begin 2016 is de hoeveelheid meldingen van datalekken
Nadere informatieFiscount ICT-Strategie en -Beveiliging
Fiscount ICT-Strategie en -Beveiliging samenwerkende partner Is jouw bedrijf veilig? Wij weten uit ervaring zeker van niet Informatiebeveiliging is belangrijker dan ooit. Helaas behandelen veel ondernemers
Nadere informatiePraktische tips voor informatiebescherming PRAKTISCHE TIPS OM U EN UW INWONERS TE BESCHERMEN TEGEN CYBERCRIMINELEN
PRAKTISCHE TIPS OM U EN UW INWONERS TE BESCHERMEN TEGEN CYBERCRIMINELEN ISACA in 82 landen ISACA 1978 +100.000 2003 +18.000 2008 +5.000 2010 +16.000 +700 mensen gecertifieerd in België +200 uren opleiding
Nadere informatieActualiteitendag Platform Deelnemersraden Risicomanagement
Actualiteitendag Platform Deelnemersraden Risicomanagement Benne van Popta (voorzitter Detailhandel) Steffanie Spoorenberg (adviseur Atos Consulting) Agenda 1. Risicomanagement 2. Risicomanagement vanuit
Nadere informatieISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18
ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen
Nadere informatieFinancials met Meerwaarde
Financials met Meerwaarde Bien Sûr Recruitment 2016 Bien Sûr Recruitment FINANCIELE KERNFUNCTIES Proactief financieel management en een alert risicomanagement is een dwingende noodzaak voor elke organisatie.
Nadere informatieover cultuur .10 toezichtsvragen
.10 toezichtsvragen over cultuur Muel Kaptein 3 e Commissarissensymposium NBA & IIA Cultuur en Gedrag en de rol van de internal audit functie 9 oktober 2017 1. In hoeverre dragen de kernwaarden bij aan
Nadere informatie